La crisis sanitaria del Covid-19 suscita múltiples cuestiones relacionadas con la protección de datos en el ámbito laboral, y además lo hace respecto de una categoría de datos especialmente sensibles, como son los datos relativos a la salud. ¿Puede la empresa exigir a su personal que informe si alguno de ellos o sus familiares tienen síntomas compatibles con el Covid-19? ¿Puede la empresa obligar a su personal a someterse a tests de temperatura o de detección? ¿Hasta qué punto puede revelarse información sobre las personas empleadas que han resultado infectadas por el coronavirus, con la finalidad de alertar o prevenir a sus compañeros de trabajo?
El Comité Europeo de Protección de Datos fijó las líneas generales de su posición en relación con el tratamiento de datos personales en el contexto de la crisis sanitaria del Covid-19, en una declaración del pasado 19 de marzo de 2020. En ella deja meridianamente claro que el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016) y demás normativa de protección de datos no debe per se obstaculizar las medidas que hayan de tomarse en la lucha contra la pandemia del coronavirus. Dicho esto, incluso en estas circunstancias excepcionales, los responsables y encargados del tratamiento deberán garantizar la protección de datos de los interesados, en particular el respeto al tratamiento legal de los datos y a los principios de protección de datos. En el espíritu de esta declaración observamos que ni la protección de datos debería invocarse como excusa para no implementar todas las medidas necesarias y útiles en la lucha contra la pandemia ni, a la inversa, la crisis sanitaria debería utilizarse para sacrificar el derecho de protección de datos, más allá de lo estrictamente necesario. En suma, una llamada a la debida ponderación de los derechos e intereses en conflicto.
Por lo que respecta a la postura de la Agencia Española de Protección de Datos (AEPD), resulta de especial interés el informe emitido por su Gabinete Jurídico sobre los tratamientos de datos en relación con el COVID-1 (N/REF: 0017/2020), el comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos, de 30 de abril de 2020, y el documento de preguntas frecuentes.
En el contexto laboral, la legitimidad del tratamiento reside en el cumplimiento de la obligación legal de prevención de riesgos laborales. Desde una perspectiva más amplia podríamos pensar en invocar otras bases jurídicas como los intereses vitales de terceros, la misión realizada en interés público o el interés legítimo, puesto que el centro de trabajo es un lugar donde interactúan individuos y de lo que allí resulte – en términos de contagios o propagación del virus – podrán derivarse consecuencias para el resto de la sociedad. No obstante, entiendo que en el ámbito laboral es más ajustado o pertinente entroncar la protección de datos de manera primordial con la prevención de riesgos laborales. Este es el enfoque que parece seguir la AEPD al afirmar que las obligaciones de prevención de riesgos laborales operan "a la vez como excepción que permite el tratamiento de datos de salud y como base jurídica que legitima el tratamiento".
En todo caso, queda claro que, con carácter general, para el tratamiento de datos de salud en este contexto no se requiere el consentimiento explícito del afectado. Es más, en el ámbito laboral el consentimiento a estos efectos quedaría en entredicho, por la relación de dependencia entre la persona empleada y la empresa, pudiendo alegarse que no es un consentimiento libre – siendo este uno de los requisitos necesarios para invocar esta base legitimadora –.
Partimos, por tanto, de que la empresa tiene legitimidad para tratar la información de las personas trabajadoras a efectos de discernir quienes están, o no, infectadas por el coronavirus, siempre en el contexto de la prevención de riesgos laborales, que se extiende a asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno del centro de trabajo, que a su vez podrían propagar el virus al conjunto de la población. El derecho individual de protección de datos se concilia así con la defensa de otros derechos, como el derecho a la protección de la salud del resto de la plantilla y, de manera más amplia, a la defensa de la salud de toda la población.
En el documento de preguntas frecuentes, la AEPD especifica que esta información sobre afectación por el coronavirus podría ser obtenida mediante preguntas al personal. Las empresas tienen la obligación legal de garantizar la seguridad y salud de su personal y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a las personas trabajadoras sobre síntomas del coronavirus. Sin embargo, "las preguntas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad."
En el mismo documento, la AEPD ha confirmado que puede transmitirse esa información al resto de personas trabajadoras de la empresa, pero en la medida de lo posible se hará sin identificar a la persona afectada a fin de preservar su privacidad. No obstante, si "ese objetivo no puede conseguirse con información parcial, o la práctica es desaconsejada por las autoridades competentes, en particular las sanitarias, podría proporcionarse la información identificativa.". En todo caso, esa transmisión debe estar justificada con una finalidad legítima (por ejemplo, para trazar los contactos de esa persona y prevenir los eventuales contagios).
El comunicado de la AEPD en relación con la toma de temperatura afirma que este tipo de medidas deben aplicarse solo atendiendo a los criterios definidos por las autoridades sanitarias, quienes deberían precisar, por ejemplo, a partir de qué temperatura se considera que una persona puede estar contagiada. En virtud de lo anterior, parece entenderse que no debería ser una decisión que asuma cada empresa de manera autónoma, para evitar efectos indeseables (aplicación heterogénea o discriminaciones injustificadas). Asimismo, en virtud del principio de exactitud, deberían utilizarse "solo equipos homologados para estos fines y con criterios que tengan en cuenta esos niveles de sensibilidad y precisión. El personal que los emplee debe reunir los requisitos legalmente establecidos y estar formado en su uso". La AEPD ha hecho estas precisiones respecto de la toma de temperatura, pero no se nos escapa que estas consideraciones podrían resultar en parte extrapolables a la realización de tests de detección de la infección por el virus.
En relación con la toma de temperatura y/o realización de tests, debemos también recordar lo previsto en el artículo 22 de la Ley de Prevención de Riesgos Laborales (Ley 31/1995, de 8 de noviembre), según el cual el empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo. Con carácter general, esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento. Ahora bien, de este carácter voluntario se exceptúan – previo informe de los representantes de los trabajadores–, los supuestos en los que la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa, o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad. En todo caso se deberá optar por la realización de aquellos reconocimientos o pruebas que causen las menores molestias al trabajador y que sean proporcionales al riesgo.
Por último, un punto esencial a tomar en consideración es la temporalidad de las medidas extraordinarias que se puedan llegar a tomar. La mayor intrusión en la privacidad de las personas trabajadoras, en pro de la protección de su salud durante la crisis del Covid19, solo estaría justificada por el tiempo estrictamente necesario, y debe ser objeto de permanente adaptación a la situación sanitaria y de salud pública, que es sumamente cambiante. Tanto desde el punto de vista de la protección de datos, como de la prevención de riesgos laborales, sería aconsejable que en la empresa esté claramente identificado el individuo, órgano o comité responsable de la seguridad y salud durante la crisis del Covid19, y que el mismo pueda responder de forma ágil y adaptar las medidas al estado actual de la crisis, incluso con periodicidad semanal.
Podemos concluir que en el ámbito laboral, durante la crisis sanitaria provocada por el Covid19, habrá de conjugarse con el máximo cuidado y rigor el derecho de protección de datos, y sus principios rectores – en especial los de minimización, limitación de la finalidad y minimización de la conservación –, con la prevención de riesgos laborales.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación